tde ekm kullanma etkinleştir

Bu konuda saydam veri şifrelemesi (tde) etkinleştirmek açıklar SQL Server 2012bir Genişletilebilir anahtar yönetimi (ekm) modülü ile depolanan bir asimetrik anahtar kullanarak bir veritabanı şifreleme anahtarı korumak için Transact-SQL.

tde tüm veritabanı depolama veritabanı şifreleme anahtarı olarak adlandırılan bir simetrik anahtar kullanarak şifreler. Veritabanı şifreleme anahtarı da ana veritabanının veritabanı ana anahtar tarafından korunan bir sertifika kullanılarak korunabilir. Veritabanı ana anahtarı kullanarak veritabanı şifreleme anahtarının koruma hakkında daha fazla bilgi için bkz: Saydam veri şifrelemesi (tde).

Bu Konuda

• Başlamadan Önce

  Sınırlamalar ve Kısıtlamalar

  Güvenlik

• tde ekm kullanma, Transact-sql kullanarak etkinleştirmek için

Başlamadan Önce

Sınırlamalar ve Kısıtlamalar

• Bir veritabanı şifreleme anahtarı oluşturmak ve veritabanını şifreleme için (Sistem Yöneticisi gibi) yüksek ayrıcalıklı bir kullanıcı olmalıdır. Kullanıcı-meli muktedir ekm modülü tarafından doğrulanması.

• Başlatma sırasında Veritabanı Altyapısıveritabanı açmalısınız. Bunu yapmak için ekm tarafından doğrulanır ve asimetrik anahtar üzerinde temel alan bir giriş eklemek bir kimlik oluşturmanız gerekir. Kullanıcılar bu girişi kullanarak giriş yapamazsınız ama Veritabanı Altyapısıkendisi ile ekm aygıt kimliğini edebilecektir.

• ekm modülü içinde depolanan asimetrik anahtar kaybolursa, veritabanı tarafından açılacak mümkün değildir SQL Server. ekm sağlayıcı asimetrik anahtar geri sağlar, size bir geri kadar oluşturmak ve güvenli bir yerde saklayın.

• ekm sağlayıcı tarafından gerekli parametreleri ve seçenekleri aşağıdaki kod örneğinde sağlanan sayfasından farklı olabilir. Daha fazla bilgi için bkz: ekm sağlayıcısı.

Güvenlik

İzinler

Bu konu aşağıdaki izinleri kullanır:

• Yeniden yapılandırın deyimini çalıştırın ve yapılandırma seçeneği değiştirmek için alter ayarlar sunucu düzeyi izni verilmelidir. AYARLARINI alter izni dolaylı tarafından düzenlenen sysadmin ve serveradmin sunucu rolleri sabit.

• HIÇBIR kimlik BILGISI alter izni gerektirir.

• alter any LOGIN izni gerektirir.

• ASİMETRİK anahtar oluşturma izni gerektirir.

• Veritabanını şifrelemek için veritabanı control izni gerektirir.

[Top]

Transact-SQL'i Kullanma

tde ekm kullanma etkinleştir için

1. Üzerine uygun bir konuma ekm sağlayıcısı tarafından sağlanan dosyaları kopyalamak SQL Serverbilgisayar. Bu örnekte, biz kullanma C:\EKMklasör.

2. Bilgisayara ekm sağlayıcı tarafından gerekli olarak sertifikaları yükleyin.

   [!NOT]

   SQL Serverekm sağlayıcı sağlamaz. Her ekm sağlayıcısı yükleme, yapılandırma ve kullanıcıları yetkilendirmek için farklı prosedürler olabilir. Bu adımı tamamlamak için ekm sağlayıcı belgelerine bakın.

3. İçinde Object Explorer, örneğine bağlanmak Veritabanı Altyapısı.

4. Standart çubuğunda Yeni sorgu.

5. Kopyalama ve aşağıdaki örnek sorgu penceresine yapıştırın ve tıkırtı Execute.

   -- Enable advanced options.
   sp_configure 'show advanced options', 1 ;
   GO
   RECONFIGURE ;
   GO
   -- Enable EKM provider
   sp_configure 'EKM provider enabled', 1 ;
   GO
   RECONFIGURE ;
   GO
   -- Create a cryptographic provider, which we have chosen to call "EKM_Prov," based on an EKM provider
   
   CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov 
   FROM FILE = 'C:\EKM_Files\KeyProvFile.dll' ;
   GO
   
   -- Create a credential that will be used by system administrators.
   CREATE CREDENTIAL sa_ekm_tde_cred 
   WITH IDENTITY = 'Identity1', 
   SECRET = 'q*gtev$0u#D1v' 
   FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ;
   GO
   
   -- Add the system administrator credential to a high privileged user such as your own domain login in the format  [DOMAIN\login].
   ALTER LOGIN UCBERKELEY\shcooper
   ADD CREDENTIAL sa_ekm_tde_cred ;
   GO
   -- create an asymmetric key stored inside the EKM provider
   USE master ;
   GO
   CREATE ASYMMETRIC KEY ekm_login_key 
   FROM PROVIDER [EKM_Prov]
   WITH ALGORITHM = RSA_512,
   PROVIDER_KEY_NAME = 'SQL_Server_Key' ;
   GO
   
   -- Create a credential that will be used by the Database Engine.
   CREATE CREDENTIAL ekm_tde_cred 
   WITH IDENTITY = 'Identity2' 
   , SECRET = 'jeksi84&sLksi01@s' 
   FOR CRYPTOGRAPHIC PROVIDER EKM_Prov ;
   
   -- Add a login used by TDE, and add the new credential to the login.
   CREATE LOGIN EKM_Login 
   FROM ASYMMETRIC KEY ekm_login_key ;
   GO
   ALTER LOGIN EKM_Login 
   ADD CREDENTIAL ekm_tde_cred ;
   GO
   
   -- Create the database encryption key that will be used for TDE.
   USE AdventureWorks2012 ;
   GO
   CREATE DATABASE ENCRYPTION KEY
   WITH ALGORITHM  = AES_128
   ENCRYPTION BY SERVER ASYMMETRIC KEY ekm_login_key ;
   GO
   
   -- Alter the database to enable transparent data encryption.
   ALTER DATABASE AdventureWorks2012 
   SET ENCRYPTION ON ;
   GO
   

Daha fazla bilgi için, aşağıdakilere bakın:

• sp_configure (Transact-sql)

• ŞİFRELEME sağlayıcısı (Transact-sql) oluştur

• Kimlik BILGISI (Transact-sql) oluştur

• ASİMETRİK anahtar (Transact-sql) oluştur

• Giriş (Transact-sql) oluştur

• Veritabanı şifreleme anahtarı (Transact-sql) oluştur

• alter giriş (Transact-sql)

• alter veritabanı (Transact-sql)

[Top]